Security Forum 2020 - Mastervorlage zur Gestaltung …...2012/02/07 · • Kein direktes Marketing...
Transcript of Security Forum 2020 - Mastervorlage zur Gestaltung …...2012/02/07 · • Kein direktes Marketing...
1|Kapsch BusinessCom AG
802.1x in der Praxis
Mastervorlage zur Gestaltung von PowerPoint-Präsentationen
DI (FH) Michael PerflerDI (FH) Bernhard Mitterer
Kapsch BusinessCom AG
2|Kapsch BusinessCom AG
Agenda
• Einleitung
• Protokolle und Standards
• Geräteklassen
• Case Study
• Grenzen und Ausblick
3|Kapsch BusinessCom AG
Einleitung
• Warum 802.1x?• Meist hoher Schutz vor externen
Bedrohungen durch Firewalls
• Interner Schutz wird oft vernachlässigt obwohl erhebliches Gefahrenpotential existiert
• Privatgeräte (meist Laptops)
• Rogue WLAN Access Points
• Vielzahl an Attacken sind im LAN verfügbar, z.B.
• Spoofing Attacken (ARP, DNS, DHCP) „Man in the Middle“Attacken
• Denial of Service Attacken
• Reconnaissance Attacken (Sniffen, Portscanning,…)
• Meist keinerlei Überwachung im LAN (Logging)
….
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
4|Kapsch BusinessCom AG
Einleitung
• Vorteile von 802.1x• Bewährter offizieller Standard (IEEE)
• Breite Unterstützung durch Hard- und Softwarehersteller
• Betriebssysteme (Windows, Linux, MAC,..)
• Netzwerkdevices (Switches, WLAN APs)
• Hohe Flexibilität durch
• Verschiedene Authentifizierungsvarianten
• Ein Standard für LAN und WLAN
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
5|Kapsch BusinessCom AG
Einleitung
• Im WLAN Bereich sehr hohe Sicherheit im Zusammenspiel mit Verschlüsselung
• Schaffung von verschiedenen Zugriffsebenen auf dynamischer Basis z.B.
• Office LAN, Gast LAN, Administrator LAN
• … ohne statische VLAN Zuweisung verminderter Administrationsaufwand
• Auch Beschränkung auf bestimmte Zugangsports oder auch Zugangszeiten ist möglich
• Monitoring des Netzwerkzugangs und Einschränkung auf Basis vorhandener Directories (AD)
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
6|Kapsch BusinessCom AG
Einleitung
• Warum ist 802.1x (noch) nicht grossflächig im Einsatz?• Gefürchtete Komplexität
• Betrifft Netzwerk und Systembereich
• Kein direktes Marketing für 802.1x (ist Feature, kein Produkt)
• Grossteils Dienstleistung
• Zusammenspiel von mehreren Komponenten
• Sorgfältige Planung des Rollouts erforderlich
• Trotzdem ideale Voraussetzung für Umsetzung, denn in vielen Fällen ist die Infrastuktur praktisch schon vorhanden:
Netzwerkdevices Authentifizierungsserver 802.1x Clients
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
7|Kapsch BusinessCom AG
Agenda
• Einleitung
• Protokolle und Standards
• Geräteklassen
• Case Study
• Grenzen und Ausblick
8|Kapsch BusinessCom AG
802.1x – Komponenten
Supplicant… zu authentifizierende Funktionseinheit (Client)
Authenticator… authentifizierende Funktionseinheit (Switch/ AccessPoint)
Authentication Server… stellt Authenticator Authentication Service zur Verfügung
(RADIUS)
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
9|Kapsch BusinessCom AG
802.1x – Message Exchange
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
10|Kapsch BusinessCom AG
802.1x – Protokoll Stack
802.3Ethernet
802.5Token Ring
802.11Wireless
802.1x / EAPOL
EAP
IP
RADIUS
UDP
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
Authenticator (Switch)
Supplicant (Client)
Authentication Server
(RADIUS)
11|Kapsch BusinessCom AG
802.1x – Packet Formats
Switch(Authenticator)
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
12|Kapsch BusinessCom AG
802.1x – Authentifizierungsmethoden (1)
Authentifizierungsmethoden
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
• Userbasiert (Credentials oder Benutzerzertifikat)• EAP-MD5
• PEAPv0 (EAP-MSCHAPv2)
• EAP-TLS (mit Benutzerzertifikat)
• EAP-OTP
• Maschinenbasiert (MAC oder Maschinenzertifikat)• EAP-TLS (mit Maschinenzertifikat)
• [ MAC-Authentication ]
13|Kapsch BusinessCom AG
802.1x – Authentifizierungsmethoden (2)
• Vorteile• Einfache Konfiguration
• Userbezogene Zugangsbeschränkung zum Netzwerk
• Userbezogenes dynamisches VLAN Assignment
Userbasierte Authentifizierung
• Nachteile• Offline Login
• Software-/ GPO Distribution
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
14|Kapsch BusinessCom AG
802.1x – Authentifizierungsmethoden (3)
• Vorteile• Nur firmeneigene Rechner kommen ins Netz
• Software- /GPO Distribution
• Online Login
Maschinenbasierte Authentifizierung
• Nachteile• Kein userbezogener Netzwerkzugang
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
15|Kapsch BusinessCom AG
802.1x – Authentifizierungsmethoden (4)
• 1. Schritt – Maschinenzertifikat
• 2. Schritt – Userbasierte Authentifizierung
Mehrstufige Konzepte
• Vereint theoretisch die Vorteile und umgeht die Nachteile der beiden einstufigen Varianten
• Derzeit NICHT empfehlenswert! (Timing Probleme)
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
16|Kapsch BusinessCom AG
Agenda
• Einleitung
• Protokolle und Standards
• Geräteklassen
• Case Study
• Grenzen und Ausblick
17|Kapsch BusinessCom AG
802.1x – Geräteklassen (1)
• Supplicants vorhanden
• Rollout von Settings automatisiert möglich
• bei Bedarf durch 3rd Party Produkte erweiterbar
PCs, Notebooks
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
18|Kapsch BusinessCom AG
802.1x – Geräteklassen (2)
• Mehrere Devices auf einem Port nicht Standardkonform• Phone auf dedizierten Access-Port
• Authenticator mit proprietären Lösungen
• Supplicant Funktionalität
• EAPoL pass-through / EAP-Logoff
• Gesichertes Voice-VLAN (ACLs)
IP Phones
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
19|Kapsch BusinessCom AG
802.1x – Geräteklassen (3)
• Ungeschütze Access Ports
• Meist keinen Supplicant
• z.T. schlecht implementierte IP Stacks (DHCP,…)
Drucker
Lösungsansätze• Eingeschränktes Drucker-VLAN
• ACLs, PVLANs, Port-Security
• MAC Authentication
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
20|Kapsch BusinessCom AG
802.1x – Message Exchange MAC Bypass
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
21|Kapsch BusinessCom AG
Agenda
• Einleitung
• Protokolle und Standards
• Geräteklassen
• Case Study
• Grenzen und Ausblick
22|Kapsch BusinessCom AG
Case Study
• Allgemein:• Entscheidend für Erfolg eines 802.1x Projektes:
• Zusammenspiel der einzelnen Komponenten
• Betrachtung aller Netzwerkdevices im Vorfeld
• Erkenntnis: Ein 802.1x Projekt ist kein reines Netzwerkprojekt
• Virtuelle Firma:• Windows Domäne
• Cisco oder HP LAN und WLAN Infrastruktur
• Desktop PCs, Laptops
• Firewall System
• Weitflächiges Firmengelände
• VoIP Telefone, IP Videokameras, Drucker…
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
23|Kapsch BusinessCom AG
Case Study
1. CA (PKI)
2. Zertifikatsenrollment (EAP-TLS)
3. RADIUS (IAS, ACS)
4. 802.1x konfigurieren
5. Andere 802.1x Devices einbinden
6. Nicht-802.1x Devices Einbinden
7. 802.1x aktivieren
8. Konfigurieren von Access-Levels: - User - Admin - Gast
DC1 DC2 CA RADIUS
802.1x
802.1x
EAP-MD5
PEAP
Drucker-VLAN
Video-VLAN
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
24|Kapsch BusinessCom AG
Case Study – mögliche nächste Schritte
• Umfassende Security durch Verwendung der vorhandenen CA bzw. PKI
• Einsatz von Zertifikaten für:
• Datenverschlüsselung
• Smartcard Anmeldung an Windows
• Email / Dokumenten Verschlüsselung / Signatur
• Diensteauthentifizierung (Webserver, VPN…)
• Single-Sign-On (SSO)
• Durch 802.1x ist die Basis für die Umsetzung dieser Punkte meist vorhanden!
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
25|Kapsch BusinessCom AG
Agenda
• Einleitung
• Protokolle und Standards
• Geräteklassen
• Case Study
• Grenzen und Ausblick
26|Kapsch BusinessCom AG
Grenzen von 802.1x
• 802.1x auf Shared Ports• 802.1x geht laut Standard von einem Gerät pro Switchport aus
• Lösungen:
• Multi-Session-Authentication
• Periodische Reauthentication
• Verschlüsselung (L2TP/IPSEC)
• 802.1x basiert auf portbasierender Authentifizierung, jedoch auf keiner Session (Signierte Pakete, verschlüsselter Tunnel) !
• Bei WLANs existiert diese Einschränkung nicht. Durch Standards wie 802.11i (WPA2) wird neben der starken Authentifizierung auch AES Verschlüsselung durchgeführt.
Datenübertragung im WLAN ist bei korrekter Implementierung zur Zeit sicherer als im LAN (durch Authentifizierung + starker Verschlüsselung)
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
27|Kapsch BusinessCom AG
Ausblick
• NAP / NAC• Idee: Authentifizierung alleine ist nicht genug
• PC muss auch andere Bedingungen erfüllen:
• Betriebssystem Patchlevel
• Virenpattern Updatelevel
• Firewall Status
• …
• Erfüllt er eine oder mehrere dieser Bedingungen nicht Quarantäne Netz (Zugang nur zu Update Servern möglich)
• NAP / NAC Lösungen sind bereits verfügbar
• Erwarteter Durchbruch:
• Windows Longhorn Server besitzt Network Policy Server (IAS Ersatz) (Q1 2008)
• Windows Vista besitzt NAP Client
• NAP Client für Windows XP wird mit Longhorn Server nachgeliefert
Einleitung Protokolle und Standards Geräteklassen Case Study Grenzen und Ausblick
28|Kapsch BusinessCom AG
Zusammenfassung
• 802.1x steigert LAN und WLAN Sicherheit erheblich
• Bietet dynamischen Zugriffsschutz unter Einbeziehung von vorhandenen Directories
• Basiert auf offiziellen Standards
• Verhindert effektiv die Verwendung von „nicht-Firmenhardware“
• 802.1x Infrastruktur für zukünftige Erweiterungen einsetzbar (NAP / NAC bzw. zertifikatsbasierende Dienste)
• Sorgfältige Planung eines 802.1x Projektes erforderlich