Upload
isold-ebers
View
125
Download
11
Embed Size (px)
Citation preview
All Rights Reserved © Alcatel-Lucent 2007Alcatel-Lucent IP Networking Infrastructure Solutions
Hauke Heinecke – Alcatel-Lucent PreSales Germany
Security á la Alcatel im LAN und WLAN UmfeldAn uns kommt keiner vorbei
2 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
“Das IP-Backboneist das Koppelfeld
für moderne Kommunikationslösungen“
Dr. Jörg Fischer 20.10.2006
3 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Beispiel : Mobilität erfordert neue Sicherheits Architktur
Wireless LAN WLAN dehnt das Corporate Netzwerk über die
bisherigen Grenzen aus
Users wechseln zwischen „Public“ und „Corporate network“
Umgehen dabei die Firewall
Moderne Laptops sind Infektionsquelle Nummer 1.
Problem wächst durch noch mehr Mobiliät, z.B.
Bluetooth
Gästen wird Zugriff auf Corporate Ressourcen gewährt
Fremde Benutzer (Geräte oder User) benutzen das
lokale Netz
Sie benötigen eine Verbindung zu lokalen
DatenquellenInternet
FW/IDS/IPS
WLAN coverage
Mobile users
4 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
IP Networking
“Sicherheit ist keine Option……
….. Sicherheit ist Pflicht
5 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Agenda
Device Security Security out of the Box Denial of Service Attacken
Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”
Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager
Basic Security Learned Port Security DHCP Protection Spanning Tree Protection
Advanced Security Access Control Lists Firewalling
User Security Autosensing Authentication Portallösung
Massive VerarbeitungSicherheitsglasStarke SchlösserSicherheitszapfen
Autom. GartentorEinzäunungGegensprechanlageZugangskontrolle
Getrennte EingängeEinliegerwohnung
Schlüssel für EingangstürFoyer für GästeHaustierklappeKey-Less Zugang für Kinder
VideoüberwachungGlasbruchsensorenBewegungsensorenRauchmelderAufschaltung Sicherheitsdienst
6 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Agenda
Device Security Security out of the Box Denial of Service Attacken
Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”
Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager
Basic Security Learned Port Security DHCP Protection Spanning Tree Protection
Advanced Security Access Control Lists Firewalling
User Security Autosensing Authentication Portallösung
Massive VerarbeitungSicherheitsglasStarke SchlösserSicherheitszapfen
Autom. GartentorEinzäunungGegensprechanlageZugangskontrolle
Getrennte EingängeEinliegerwohnung
Schlüssel für EingangstürFoyer für GästeHaustierklappeKey-Less Zugang für Kinder
VideoüberwachungGlasbruchsensorenBewegungsensorenRauchmelderAufschaltung Sicherheitsdienst
7 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Device Security
Gehärtete „stählerne“ Infrastruktur
Security by default
Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC)
DoS Schutz durch automatisches Radio Management (WLAN)
Vulnerability Management
Automatische Gegenwehr-Mechanismen
Code und Konfiguration Integrität
Verwendung verschiedener Sicherheitsprofile für Management
Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL
Automatische System Recovery
Selbstheilende Komponenten
.Alfred Krupp
8 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Agenda
Device Security Security out of the Box Denial of Service Attacken
Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”
Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager
Basic Security Learned Port Security DHCP Protection Spanning Tree Protection
Advanced Security Access Control Lists Firewalling
User Security Autosensing Authentication Portallösung
Autom. GartentorEinzäunungGegensprechanlageZugangskontrolle
9 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Basic Security – Schutz für ungebetenen Gästen
Der Objektschutz beginnt bereits an der Gartenpforte
„Learned Port-Security“ kontrolliert den physischen
Switchport und schützt vor Missbrauch.
Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC)
Kontrolle eine spez. Bereichs von Endgeräten
Kontrolle über die Anzahl von Endgeräten (MAC)
– Schutz vor unauthorisierter Benutzung von Hub’s, Switches oder Access Point an einen Switchport
– Automatische Reaktion auf Regelverletzung
– Alarmierung der Regelverletzung
Spanning Tree Protection
Edgeport
– Empfangene BPD’s auf einem Userport werden verworfen
Spanning Tree Root Protection
– Kontrolle über empfangene STP Pakete
– Blocken von PaketenMAC-1 MAC-2 MAC-3 MAC-4
SwitchPort
10 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Basic Security – Schutz vor ungebetenen Gästen
Schutz vor DHCP Vergiftung
Ein unautorisierter DHCP-Server im Netzwerk kann zur
Katastrophe führen
Jeder Port erhält einen Vertrauens-Status
– Ein DHCP Server darf angeschlossen sein
– Kein DHCP Server darf angeschlossen sein
Nur auf autorisierten Ports dürfen DHCP-Offer passieren
DHCP-only-Ports
Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein
– DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service
– Ohne DHCP Service keine Verbindung zum LAN
OmniPCXEnterprise
11 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Agenda
Device Security Security out of the Box Denial of Service Attacken
Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”
Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager
Basic Security Learned Port Security DHCP Protection Spanning Tree Protection
Advanced Security Access Control Lists Firewalling
User Security Autosensing Authentication Portallösung
Getrennte EingängeEinliegerwohnung
12 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Layer1-Layer 4 ACLs / QoS policies
Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed,
Verschiedene Bedingungen Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer 3 - - IP Srce/Dest address. Ex : 192.168.10.1 Layer 2 - - MAC Srce/Dest address. Ex: 0020DA34E2F8
Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige
Best EffortIP, IPX,…
Differentiated Traffic
GuaranteedTraffic
Sensitive traffic
Real-timetraffic
Normaltraffic
13 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Agenda
Device Security Security out of the Box Denial of Service Attacken
Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”
Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager
Basic Security Learned Port Security DHCP Protection Spanning Tree Protection
Advanced Security Access Control Lists Firewalling
User Security Autosensing Authentication Portallösung
Schlüssel für EingangstürFoyer für GästeHaustierklappeKey-Less Zugang für Kinder
14 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Alcatel Access Guardian
Sicherer Netzwerkzugang Access
Authentifizierung der Benutzer
Host Integrity Check für jedes Gerät
Role-based Netzwerk Zugang
Sicherheit auf Netzwerkebene
15 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
IEEE 802.1x
Auto-sensing Benutzer- Authentifizierung
Universelle Authentifizierung in Abhängigkeit vom Endgerät
Weil es mehr als einen PC im Netzwerk gibt
Weil alle Geräte mobil sind
Weil die Migration auf 802.1x auf einen Schlag schwierig ist
MAC 00:Ob:86:80:34:40
Captive Portal
16 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Gäste Portal
Anmeldung für Gäste und auch Mitarbeiter
Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der
Infrastruktur
17 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Agenda
Device Security Security out of the Box Denial of Service Attacken
Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”
Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager
Basic Security Learned Port Security DHCP Protection Spanning Tree Protection
Advanced Security Access Control Lists Firewalling
User Security Autosensing Authentication Portallösung
VideoüberwachungGlasbruchsensorenBewegungsensorenRauchmelderAufschaltung Sicherheitsdienst
18 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Switching ASIC
1 in N sampling
sFlow Übersicht
packet headersrc/dst
i/fsampling
parmsforwarding
user ID
URLi/f
counterssFlow agent
forwarding tables
interface counters
sFlow Datagram
z.B. 128Bit ratepool
src 802.1p/Qdst 802.1p/Qnext hopsrc/dst maskAS pathcommunitieslocalPrefMPLS
src/dstRadiusTACACS
sFlow Collector & Analyser
Switch/Router
19 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Alcatel-Lucent Quarantine Manager
WorkgroupSwitches
Data CenterSwitch Kritische
RessourcenEndnutzer
OmniVistaNetwork Management
System(SNMP based)
1 Infizierte station attackiert server (z.B. port scan)
2 IDP identifiziert die Attacke und den Ursprung
3 IDP informiert OmniVista über den Type und Ursprung der Attacke
5 Die Aktion ist aktiviert im Netzwerk
Sequenz der Ereignisse
4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet
AutomatedAutomated Quarantine ManagerQuarantine Manager
!!! Attacke erkannt !!!, Sie können:
• Shut Down des Nutzerports• Eine ACL kreieren• Die fehlerhafte Station in ein
Quarantäne VLAN schieben
20 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Was ist neu ?
Security
21 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
OmniAccess SafeGuard Product Line
Network positioning
LAN core
Transparent deployment
Data center
OmniVista SafeGuard Manager
Access layer
GUI-based LAN tracking, incident reports, and policy setting
Per-user and per-application controls
OmniVista 2500(Topology, traps, QM Syslog)
High Availability redundancy supported
OmniAccess 2400 SafeGuard
OmniAccess 1000 SafeGuard
22 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Corporate
LAN
Authenticate
Host Integrity Check
Audit
Identity-Based Control
Threat Control
Only valid users get on the LAN
Only compliant systems enter the LAN
Control Access to Resource from Layer 2 - Layer 7
Track and monitor user activity up to Layer 7
Protect the LAN against zero-day worms
OmniAccess Security Overlay Features
23 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
TCP / UDP ports
Alcatel performs L7 decode to identify apps
regardless of port number
Enables detection of port-cloaking
attacks
Many apps use well-known ports
Some apps negotiate dynamic port assignments
Alcatel decodes these apps at Layer 7:
» HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS» RTP » RTSP » MSRPC» SUNRPC » MS Media » H.323 » SIP » Oracle
= port-hopping apps
0 -1024 1025 - 65K
Decoding Applications
24 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Schmerzen
25 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
26 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Alcatel-Lucent hilft
27 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
SecurityAccess Guardian or “Alcatel-Lucent’s NAC”
Authentication – Know who is on your network• Embedded auto-sensing Authentication for AOS(LAN) and AOS-
W(WLAN) Mix 802.1x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port
• Authentication systems VitalAAA Radius authentication server, compatible with MS IAS
Host integrity – Check if they are compliant• Integrated Access Control on AOS and AOS-W
• NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP)
• Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W)
• Partners: InfoExpress HIC, Symantec, Microsoft NAP
Role-based access – Direct what they can access• User Profiles granting access to appropriate resources (AOS)
• Per-user access privileges (AOS-W)
• Mapping users to resources at network level - OmniVista SV Network Access
• Per user control at the application level (L2 to L7) - OmniAccess SafeGuard
28 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
OmniAccess SafeGuard Product LineNetwork positioning
LAN core
Transparent deployment
Data center
OmniVista SafeGuard Manager
Access layer
GUI-based LAN tracking, incident reports, and policy setting
Per-user and per-application controls
OmniVista 2500(Topology, traps, QM Syslog)
High Availability redundancy supported
OmniAccess 2400 SafeGuard
OmniAccess 1000 SafeGuard
29 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Corporate
LAN
Authenticate
Host Integrity Check
Audit
Identity-Based Control
Threat Control
Only valid users get on the LAN
Only compliant systems enter the LAN
Control Access to Resource from Layer 2 - Layer 7
Track and monitor user activity up to Layer 7
Protect the LAN against zero-day worms
OmniAccess Security Overlay Features
30 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
TCP / UDP ports
Alcatel performs L7 decode to identify apps
regardless of port number
Enables detection of port-cloaking
attacks
Many apps use well-known ports
Some apps negotiate dynamic port assignments
Alcatel decodes these apps at Layer 7:
» HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS» RTP » RTSP » MSRPC» SUNRPC » MS Media » H.323 » SIP » Oracle
= port-hopping apps
0 -1024 1025 - 65K
Decoding Applications
31 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
SecurityIntrusion Containment with Quarantine Manager
Intrusion Detection – See what they are doing
• AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection
• AOS-W built-in Firewall and IDS
• Firewall and VPN in Brick with basic IDS/IPS
• Inline User monitoring and Threat Blocking with OmniAccess SafeGuard
Per-user and per-application based detection and blocking User tracking and compliance reporting
• Fortinet Applianc, Signature-based IPS
Containment – Quarantine and remediate
• Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W)
Flexible integration with 3rd party detection devices (syslog, SNMP)
• Granular application quarantining and user activity logging with OmniAccess SafeGuard
32 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
Security portfolio Directions
Products and partnerships
•LAN: OmniSwitch AOS protection, Sflow
•WLAN: OmniAccess Wireless built-in firewall and IPS
•Authentication Server: Radius, MS IAS, VitalAAA Radius
•Host Integrity: Symantec, MS NAP
•Unified Threat Management: Fortinet
•Firewall and VPN: Brick portfolio
•Inline Appliance: OmniAccess SafeGuard
Quarantine Manager => Intrusion Containment•Intrusion – Detection - Monitoring•Containment - Remediation
Access Guardian => Network Access Control•Auto-sensing Authentication•Host Integrity Check for security compliance•Role based access
33 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
OmniSwitch6850 / L
OmniAccess 700OmniAcces
sWLAN
7450/7750
OmniStackLS 6200
OmniSwitch7000/9000
LAN
CoreWAN/MANWLAN LAN Aggregation
LAN
Edge
Secure Network TransformationLAN/WAN Networking Solutions
OmniAccess 3500
Laptop Guardian
Brick Firewall
OmniAccess SafeGuard
Durchgängige Netzwerk ServicesDurchgängige Netzwerk Services
Durchgängiges Netzwerkmanagement – OmniVista / Durchgängiges Netzwerkmanagement – OmniVista / Vital SuiteVital Suite
GenesisGenesis
OmniPCX EnterpriseOmniPCX Enterprise
OmniPCX OfficeOmniPCX Office
EndgeräteWLANLANTDM
EndgeräteWLANLANTDM
OTUCOTUC
34 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007
www.alcatel-lucent.com