Security á la Alcatel im LAN und WLAN

Security á la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei Hauke Heinecke – Alcatel-Lucent Pre. Sales Germany Alcatel-Lucent IP Networking Infrastructure Solutions All Rights Reserved © Alcatel-Lucent 2007

Beispiel : Mobilität erfordert neue Sicherheits Architktur Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus WLAN coverage Users wechseln zwischen „Public“ und „Corporate network“ § Umgehen dabei die Firewall § Moderne Laptops sind Infektionsquelle Nummer 1. § FW/IDS/IPS Problem wächst durch noch mehr Mobiliät, z. B. Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt § § 3 Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen Internet Mobile users All Rights Reserved © Alcatel-Lucent 2007

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” § Device Security § Security out of the Box § Denial of Service Attacken § Basic Security Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder § Learned Port Security § DHCP Protection § Spanning Tree Protection § Advanced Security § Access Control Lists § Firewalling § User Security § Autosensing Authentication § Portallösung § Network Security § SFlow § Integriertes IDS / 3 rd Party IDS-IPS § Quarantine Manager 5 Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle All Rights Reserved © Alcatel-Lucent 2007 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” § Device Security § Security out of the Box § Denial of Service Attacken § Basic Security Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder § Learned Port Security § DHCP Protection § Spanning Tree Protection § Advanced Security § Access Control Lists § Firewalling § User Security § Autosensing Authentication § Portallösung § Network Security § SFlow § Integriertes IDS / 3 rd Party IDS-IPS § Quarantine Manager 6 Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle All Rights Reserved © Alcatel-Lucent 2007 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen

Device Security Gehärtete „stählerne“ Infrastruktur § Security by default § Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) § Do. S Schutz durch automatisches Radio Management (WLAN) § Vulnerability Management § Automatische Gegenwehr-Mechanismen § Code und Konfiguration Integrität § Verwendung verschiedener Sicherheitsprofile für Management § Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv 3 w/ SSL § Automatische System Recovery § Selbstheilende Komponenten Alfred Krupp . 7 All Rights Reserved © Alcatel-Lucent 2007

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” § Device Security § Security out of the Box § Denial of Service Attacken § Basic Security § Learned Port Security § DHCP Protection § Spanning Tree Protection § Advanced Security § Access Control Lists § Firewalling § User Security § Autosensing Authentication § Portallösung § Network Security § SFlow § Integriertes IDS / 3 rd Party IDS-IPS § Quarantine Manager 8 Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle All Rights Reserved © Alcatel-Lucent 2007

Basic Security – Schutz für ungebetenen Gästen Der Objektschutz beginnt bereits an der Gartenpforte § „Learned Port-Security“ kontrolliert den physischen Switchport und schützt vor Missbrauch. Switch Port § Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) § Kontrolle eine spez. Bereichs von Endgeräten § Kontrolle über die Anzahl von Endgeräten (MAC) – Schutz vor unauthorisierter Benutzung von Hub’s, Switches oder Access Point an einen Switchport – Automatische Reaktion auf Regelverletzung – Alarmierung der Regelverletzung § Spanning Tree Protection § Edgeport – Empfangene BPD’s auf einem Userport werden verworfen § Spanning Tree Root Protection MAC-1 – Kontrolle über empfangene STP Pakete – Blocken von Paketen 9 All Rights Reserved © Alcatel-Lucent 2007 MAC-2 MAC-3 MAC-4

Basic Security – Schutz vor ungebetenen Gästen Schutz vor DHCP Vergiftung § Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen § Jeder Port erhält einen Vertrauens-Status – Ein DHCP Server darf angeschlossen sein – Kein DHCP Server darf angeschlossen sein § Nur auf autorisierten Ports dürfen DHCP-Offer passieren § DHCP-only-Ports § Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein – DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service – Ohne DHCP Service keine Verbindung zum LAN Omni. PCX Enterprise 10 All Rights Reserved © Alcatel-Lucent 2007

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” § Device Security § Security out of the Box § Denial of Service Attacken § Basic Security § Learned Port Security § DHCP Protection § Spanning Tree Protection § Advanced Security § Access Control Lists § Firewalling § User Security § Autosensing Authentication § Portallösung § Network Security Getrennte Eingänge Einliegerwohnung § SFlow § Integriertes IDS / 3 rd Party IDS-IPS § Quarantine Manager 11 All Rights Reserved © Alcatel-Lucent 2007

Layer 1 -Layer 4 ACLs / Qo. S policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, § Verschiedene Bedingungen § § Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L 4 Port ID. Ex : UDP or Port 23. Layer 3 - - IP Srce/Dest address. Ex : 192. 168. 10. 1 Layer 2 - - MAC Srce/Dest address. Ex: 0020 DA 34 E 2 F 8 § Verschiedenen Aktionen § § § 12 Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige IP, IPX, … Differentiated Best Effort Normal traffic Traffic Sensitive traffic Guaranteed Traffic Real-time traffic All Rights Reserved © Alcatel-Lucent 2007

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” § Device Security Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder § Security out of the Box § Denial of Service Attacken § Basic Security § Learned Port Security § DHCP Protection § Spanning Tree Protection § Advanced Security § Access Control Lists § Firewalling § User Security § Autosensing Authentication § Portallösung § Network Security § SFlow § Integriertes IDS / 3 rd Party IDS-IPS § Quarantine Manager 13 All Rights Reserved © Alcatel-Lucent 2007

Alcatel Access Guardian Sicherer Netzwerkzugang Access § Authentifizierung der Benutzer § Host Integrity Check für jedes Gerät § Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene 14 All Rights Reserved © Alcatel-Lucent 2007

Auto-sensing Benutzer- Authentifizierung IEEE 802. 1 x MAC 00: Ob: 86: 80: 34: 40 Captive Portal Universelle Authentifizierung in Abhängigkeit vom Endgerät § § Weil alle Geräte mobil sind § 15 Weil es mehr als einen PC im Netzwerk gibt Weil die Migration auf 802. 1 x auf einen Schlag schwierig ist All Rights Reserved © Alcatel-Lucent 2007

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” § Device Security § Security out of the Box § Denial of Service Attacken § Basic Security Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst § Learned Port Security § DHCP Protection § Spanning Tree Protection § Advanced Security § Access Control Lists § Firewalling § User Security § Autosensing Authentication § Portallösung § Network Security § SFlow § Integriertes IDS / 3 rd Party IDS-IPS § Quarantine Manager 17 All Rights Reserved © Alcatel-Lucent 2007

s. Flow Übersicht s. Flow Datagram Switch/Router forwarding tables s. Flow agent interface counters Switching ASIC packet header z. B. 128 Bit src/dst i/f sampling parms rate pool 1 in N sampling forwarding user ID URL i/f counters src 802. 1 p/Q src/dst 802. 1 p/Q Radius next hop TACACS src/dst mask AS path communities local. Pref MPLS s. Flow Collector & Analyser 18 All Rights Reserved © Alcatel-Lucent 2007

Alcatel-Lucent Quarantine Manager Sequenz der Ereignisse 1 Infizierte station attackiert server (z. B. port scan) 2 IDP identifiziert die Attacke und den Ursprung 3 IDP informiert Omni. Vista über den Type und Ursprung der Attacke 4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet 5 Die Aktion ist aktiviert im Netzwerk Endnutzer 19 Workgroup Switches Data Center Switch All Rights Reserved © Alcatel-Lucent 2007 Automated Omni. Vista Quarantine Manager Network Management !!! Attacke erkannt !!!, Sie können: System • Shut Down des Nutzerports (SNMP based) • Eine ACL kreieren • Die fehlerhafte Station in ein Quarantäne VLAN schieben Kritische Ressourcen

Omni. Access Safe. Guard Product Line Network positioning GUI-based LAN tracking, incident reports, and policy setting Omni. Vista 2500 (Topology, traps, QM Syslog) Data center Omni. Vista Safe. Guard Manager Omni. Access 2400 Safe. Guard LAN core Transparent deployment High Availability redundancy supported Omni. Access 1000 Safe. Guard Access layer Per-user and perapplication controls 21 All Rights Reserved © Alcatel-Lucent 2007

Omni. Access Security Overlay Features Audit Threat Control Identity-Based Control Corporate Host Integrity Check LAN Authenticate 22 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms Control Access to Resource from Layer 2 - Layer 7 Only compliant systems enter the LAN Only valid users get on the LAN All Rights Reserved © Alcatel-Lucent 2007

Decoding Applications Many apps use well-known ports 0 -1024 1025 Some apps negotiate dynamic port assignments - 65 K TCP / UDP ports Alcatel performs L 7 decode to identify apps regardless of port number § Enables detection of port-cloaking attacks Alcatel decodes these apps at Layer 7: » HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS » RTP » RTSP » MSRPC » SUNRPC » MS Media » H. 323 » SIP » Oracle = port-hopping apps 23 All Rights Reserved © Alcatel-Lucent 2007

Security Access Guardian or “Alcatel-Lucent’s NAC” § Authentication – Know who is on your network • Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) § § • Mix 802. 1 x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port Authentication systems § Vital. AAA Radius authentication server, compatible with MS IAS § Host integrity – Check if they are compliant • Integrated Access Control on AOS and AOS-W • NAC enforcement with 802. 1 x (Vlan) and IP lockdown (DHCP) • Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) • Partners: Info. Express HIC, Symantec, Microsoft NAP § Role-based access – Direct what they can access • • Per-user access privileges (AOS-W) • Mapping users to resources at network level - Omni. Vista SV Network Access • 27 User Profiles granting access to appropriate resources (AOS) Per user control at the application level (L 2 to L 7) - Omni. Access Safe. Guard All Rights Reserved © Alcatel-Lucent 2007

Omni. Access Safe. Guard Product Line Network positioning GUI-based LAN tracking, incident reports, and policy setting Omni. Vista 2500 (Topology, traps, QM Syslog) Data center Omni. Vista Safe. Guard Manager Omni. Access 2400 Safe. Guard LAN core Transparent deployment High Availability redundancy supported Omni. Access 1000 Safe. Guard Access layer Per-user and perapplication controls 28 All Rights Reserved © Alcatel-Lucent 2007

Omni. Access Security Overlay Features Audit Threat Control Identity-Based Control Corporate Host Integrity Check LAN Authenticate 29 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms Control Access to Resource from Layer 2 - Layer 7 Only compliant systems enter the LAN Only valid users get on the LAN All Rights Reserved © Alcatel-Lucent 2007

Decoding Applications Many apps use well-known ports 0 -1024 1025 Some apps negotiate dynamic port assignments - 65 K TCP / UDP ports Alcatel performs L 7 decode to identify apps regardless of port number § Enables detection of port-cloaking attacks Alcatel decodes these apps at Layer 7: » HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS » RTP » RTSP » MSRPC » SUNRPC » MS Media » H. 323 » SIP » Oracle = port-hopping apps 30 All Rights Reserved © Alcatel-Lucent 2007

Security Intrusion Containment with Quarantine Manager § Intrusion Detection – See what they are doing • AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection • AOS-W built-in Firewall and IDS • Firewall and VPN in Brick with basic IDS/IPS • Inline User monitoring and Threat Blocking with Omni. Access Safe. Guard § § • Per-user and per-application based detection and blocking User tracking and compliance reporting Fortinet Applianc, Signature-based IPS § Containment – Quarantine and remediate • Enforcement or quarantine at the network edge with Omni. Vista Quarantine Manager (AOS, AOS-W) § • 31 Flexible integration with 3 rd party detection devices (syslog, SNMP) Granular application quarantining and user activity logging with Omni. Access Safe. Guard All Rights Reserved © Alcatel-Lucent 2007

Security portfolio Directions § Access Guardian => Network Access Control • Auto-sensing Authentication • Host Integrity Check for security compliance • Role based access § Quarantine Manager => Intrusion Containment • Intrusion – Detection - Monitoring • Containment - Remediation § Products and partnerships • LAN: Omni. Switch AOS protection, Sflow • WLAN: Omni. Access Wireless built-in firewall and IPS • Authentication Server: Radius, MS IAS, Vital. AAA Radius • Host Integrity: Symantec, MS NAP • Unified Threat Management: Fortinet • Firewall and VPN: Brick portfolio • Inline Appliance: Omni. Access Safe. Guard 32 All Rights Reserved © Alcatel-Lucent 2007

Secure Network Transformation LAN/WAN Networking Solutions WLAN Edge LAN Aggregation LAN Core WAN/MAN Brick Firewall Omni. Access 3500 Laptop Guardian 7450/7750 Omni. Access Safe. Guard Omni. Access WLAN Omni. Stack LS 6200 Omni. Switch 6850 / L Omni. Access 700 Omni. Switch 7000/9000 Durchgängige Netzwerk Services Durchgängiges Netzwerkmanagement – Omni. Vista / Vital Suite Endgeräte WLAN TDM Omni. PCX Enterprise Genesis Omni. PCX Office 33 OTUC All Rights Reserved © Alcatel-Lucent 2007