Security Forum 2020 - Mastervorlage zur Gestaltung …...2012/02/07 · • Kein direktes Marketing...

1|Kapsch BusinessCom AG

802.1x in der Praxis

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen

DI (FH) Michael PerflerDI (FH) Bernhard Mitterer

Kapsch BusinessCom AG


Agenda

• Einleitung

• Protokolle und Standards

• Geräteklassen

• Case Study

• Grenzen und Ausblick


Einleitung

• Warum 802.1x?• Meist hoher Schutz vor externen

Bedrohungen durch Firewalls

• Interner Schutz wird oft vernachlässigt obwohl erhebliches Gefahrenpotential existiert

• Privatgeräte (meist Laptops)

• Rogue WLAN Access Points

• Vielzahl an Attacken sind im LAN verfügbar, z.B.

• Spoofing Attacken (ARP, DNS, DHCP) „Man in the Middle“Attacken

• Denial of Service Attacken

• Reconnaissance Attacken (Sniffen, Portscanning,…)

• Meist keinerlei Überwachung im LAN (Logging)

….

Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick


Einleitung

• Vorteile von 802.1x• Bewährter offizieller Standard (IEEE)

• Breite Unterstützung durch Hard- und Softwarehersteller

• Betriebssysteme (Windows, Linux, MAC,..)

• Netzwerkdevices (Switches, WLAN APs)

• Hohe Flexibilität durch

• Verschiedene Authentifizierungsvarianten

• Ein Standard für LAN und WLAN



Einleitung

• Im WLAN Bereich sehr hohe Sicherheit im Zusammenspiel mit Verschlüsselung

• Schaffung von verschiedenen Zugriffsebenen auf dynamischer Basis z.B.

• Office LAN, Gast LAN, Administrator LAN

• … ohne statische VLAN Zuweisung verminderter Administrationsaufwand

• Auch Beschränkung auf bestimmte Zugangsports oder auch Zugangszeiten ist möglich

• Monitoring des Netzwerkzugangs und Einschränkung auf Basis vorhandener Directories (AD)



Einleitung

• Warum ist 802.1x (noch) nicht grossflächig im Einsatz?• Gefürchtete Komplexität

• Betrifft Netzwerk und Systembereich

• Kein direktes Marketing für 802.1x (ist Feature, kein Produkt)

• Grossteils Dienstleistung

• Zusammenspiel von mehreren Komponenten

• Sorgfältige Planung des Rollouts erforderlich

• Trotzdem ideale Voraussetzung für Umsetzung, denn in vielen Fällen ist die Infrastuktur praktisch schon vorhanden:

Netzwerkdevices Authentifizierungsserver 802.1x Clients



Agenda

• Einleitung


• Geräteklassen

• Case Study



802.1x – Komponenten

Supplicant… zu authentifizierende Funktionseinheit (Client)

Authenticator… authentifizierende Funktionseinheit (Switch/ AccessPoint)

Authentication Server… stellt Authenticator Authentication Service zur Verfügung

(RADIUS)



802.1x – Message Exchange



802.1x – Protokoll Stack

802.3Ethernet

802.5Token Ring

802.11Wireless

802.1x / EAPOL

EAP

IP

RADIUS

UDP


Authenticator (Switch)

Supplicant (Client)

Authentication Server

(RADIUS)


802.1x – Packet Formats

Switch(Authenticator)



802.1x – Authentifizierungsmethoden (1)

Authentifizierungsmethoden


• Userbasiert (Credentials oder Benutzerzertifikat)• EAP-MD5

• PEAPv0 (EAP-MSCHAPv2)

• EAP-TLS (mit Benutzerzertifikat)

• EAP-OTP

• Maschinenbasiert (MAC oder Maschinenzertifikat)• EAP-TLS (mit Maschinenzertifikat)

• [ MAC-Authentication ]



• Vorteile• Einfache Konfiguration

• Userbezogene Zugangsbeschränkung zum Netzwerk

• Userbezogenes dynamisches VLAN Assignment

Userbasierte Authentifizierung

• Nachteile• Offline Login

• Software-/ GPO Distribution




• Vorteile• Nur firmeneigene Rechner kommen ins Netz

• Software- /GPO Distribution

• Online Login

Maschinenbasierte Authentifizierung

• Nachteile• Kein userbezogener Netzwerkzugang




• 1. Schritt – Maschinenzertifikat

• 2. Schritt – Userbasierte Authentifizierung

Mehrstufige Konzepte

• Vereint theoretisch die Vorteile und umgeht die Nachteile der beiden einstufigen Varianten

• Derzeit NICHT empfehlenswert! (Timing Probleme)



Agenda

• Einleitung


• Geräteklassen

• Case Study



802.1x – Geräteklassen (1)

• Supplicants vorhanden

• Rollout von Settings automatisiert möglich

• bei Bedarf durch 3rd Party Produkte erweiterbar

PCs, Notebooks




• Mehrere Devices auf einem Port nicht Standardkonform• Phone auf dedizierten Access-Port

• Authenticator mit proprietären Lösungen

• Supplicant Funktionalität

• EAPoL pass-through / EAP-Logoff

• Gesichertes Voice-VLAN (ACLs)

IP Phones




• Ungeschütze Access Ports

• Meist keinen Supplicant

• z.T. schlecht implementierte IP Stacks (DHCP,…)

Drucker

Lösungsansätze• Eingeschränktes Drucker-VLAN

• ACLs, PVLANs, Port-Security

• MAC Authentication



802.1x – Message Exchange MAC Bypass



Agenda

• Einleitung


• Geräteklassen

• Case Study



Case Study

• Allgemein:• Entscheidend für Erfolg eines 802.1x Projektes:

• Zusammenspiel der einzelnen Komponenten

• Betrachtung aller Netzwerkdevices im Vorfeld

• Erkenntnis: Ein 802.1x Projekt ist kein reines Netzwerkprojekt

• Virtuelle Firma:• Windows Domäne

• Cisco oder HP LAN und WLAN Infrastruktur

• Desktop PCs, Laptops

• Firewall System

• Weitflächiges Firmengelände

• VoIP Telefone, IP Videokameras, Drucker…



Case Study

1. CA (PKI)

2. Zertifikatsenrollment (EAP-TLS)

3. RADIUS (IAS, ACS)

4. 802.1x konfigurieren

5. Andere 802.1x Devices einbinden

6. Nicht-802.1x Devices Einbinden

7. 802.1x aktivieren

8. Konfigurieren von Access-Levels: - User - Admin - Gast

DC1 DC2 CA RADIUS

802.1x

802.1x

EAP-MD5

PEAP

Drucker-VLAN

Video-VLAN



Case Study – mögliche nächste Schritte

• Umfassende Security durch Verwendung der vorhandenen CA bzw. PKI

• Einsatz von Zertifikaten für:

• Datenverschlüsselung

• Smartcard Anmeldung an Windows

• Email / Dokumenten Verschlüsselung / Signatur

• Diensteauthentifizierung (Webserver, VPN…)

• Single-Sign-On (SSO)

• Durch 802.1x ist die Basis für die Umsetzung dieser Punkte meist vorhanden!



Agenda

• Einleitung


• Geräteklassen

• Case Study



Grenzen von 802.1x

• 802.1x auf Shared Ports• 802.1x geht laut Standard von einem Gerät pro Switchport aus

• Lösungen:

• Multi-Session-Authentication

• Periodische Reauthentication

• Verschlüsselung (L2TP/IPSEC)

• 802.1x basiert auf portbasierender Authentifizierung, jedoch auf keiner Session (Signierte Pakete, verschlüsselter Tunnel) !

• Bei WLANs existiert diese Einschränkung nicht. Durch Standards wie 802.11i (WPA2) wird neben der starken Authentifizierung auch AES Verschlüsselung durchgeführt.

Datenübertragung im WLAN ist bei korrekter Implementierung zur Zeit sicherer als im LAN (durch Authentifizierung + starker Verschlüsselung)



Ausblick

• NAP / NAC• Idee: Authentifizierung alleine ist nicht genug

• PC muss auch andere Bedingungen erfüllen:

• Betriebssystem Patchlevel

• Virenpattern Updatelevel

• Firewall Status

• …

• Erfüllt er eine oder mehrere dieser Bedingungen nicht Quarantäne Netz (Zugang nur zu Update Servern möglich)

• NAP / NAC Lösungen sind bereits verfügbar

• Erwarteter Durchbruch:

• Windows Longhorn Server besitzt Network Policy Server (IAS Ersatz) (Q1 2008)

• Windows Vista besitzt NAP Client

• NAP Client für Windows XP wird mit Longhorn Server nachgeliefert



Zusammenfassung

• 802.1x steigert LAN und WLAN Sicherheit erheblich

• Bietet dynamischen Zugriffsschutz unter Einbeziehung von vorhandenen Directories

• Basiert auf offiziellen Standards

• Verhindert effektiv die Verwendung von „nicht-Firmenhardware“

• 802.1x Infrastruktur für zukünftige Erweiterungen einsetzbar (NAP / NAC bzw. zertifikatsbasierende Dienste)

• Sorgfältige Planung eines 802.1x Projektes erforderlich

Security Forum 2020 - Mastervorlage zur Gestaltung …...2012/02/07 · • Kein direktes Marketing...

Documents

Transcript of Security Forum 2020 - Mastervorlage zur Gestaltung …...2012/02/07 · • Kein direktes Marketing...