1 / 34

Hauke Heinecke – Alcatel-Lucent PreSales Germany

Security á la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei. Hauke Heinecke – Alcatel-Lucent PreSales Germany. “Das IP-Backbone ist das Koppelfeld für moderne Kommunikationslösungen“. Dr. Jörg Fischer 20.10.2006.

idola-barry
Download Presentation

Hauke Heinecke – Alcatel-Lucent PreSales Germany

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Security á la Alcatel im LAN und WLAN UmfeldAn uns kommt keiner vorbei Hauke Heinecke – Alcatel-Lucent PreSales Germany

  2. “Das IP-Backbone ist das Koppelfeld für moderne Kommunikationslösungen“ Dr. Jörg Fischer 20.10.2006

  3. Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus Users wechseln zwischen „Public“ und „Corporate network“ Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wächst durch noch mehr Mobiliät, z.B. Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen Beispiel : Mobilität erfordert neue Sicherheits Architktur WLAN coverage FW/IDS/IPS Internet Mobile users

  4. IP Networking “Sicherheit ist keine Option…… ….. Sicherheit ist Pflicht

  5. Agenda • Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” • Device Security • Security out of the Box • Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 • Basic Security • Learned Port Security • DHCP Protection • Spanning Tree Protection • Advanced Security • Access Control Lists • Firewalling 1 4 • User Security • Autosensing Authentication • Portallösung 3 2 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle • Network Security • SFlow • Integriertes IDS / 3rd Party IDS-IPS • Quarantine Manager

  6. Agenda • Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” • Device Security • Security out of the Box • Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 • Basic Security • Learned Port Security • DHCP Protection • Spanning Tree Protection • Advanced Security • Access Control Lists • Firewalling 1 4 • User Security • Autosensing Authentication • Portallösung 3 2 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle • Network Security • SFlow • Integriertes IDS / 3rd Party IDS-IPS • Quarantine Manager

  7. Device Security • Gehärtete „stählerne“ Infrastruktur • Security by default • Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) • DoS Schutz durch automatisches Radio Management (WLAN) • Vulnerability Management • Automatische Gegenwehr-Mechanismen • Code und Konfiguration Integrität • Verwendung verschiedener Sicherheitsprofile für Management • Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL • Automatische System Recovery • Selbstheilende Komponenten . Alfred Krupp

  8. Agenda • Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” • Device Security • Security out of the Box • Denial of Service Attacken • Basic Security • Learned Port Security • DHCP Protection • Spanning Tree Protection • Advanced Security • Access Control Lists • Firewalling • User Security • Autosensing Authentication • Portallösung 2 Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle • Network Security • SFlow • Integriertes IDS / 3rd Party IDS-IPS • Quarantine Manager

  9. Basic Security – Schutz für ungebetenen Gästen • Der Objektschutz beginnt bereits an der Gartenpforte • „Learned Port-Security“ kontrolliert den physischen Switchport und schützt vor Missbrauch. • Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) • Kontrolle eine spez. Bereichs von Endgeräten • Kontrolle über die Anzahl von Endgeräten (MAC) • Schutz vor unauthorisierter Benutzung von Hub’s, Switches oder Access Point an einen Switchport • Automatische Reaktion auf Regelverletzung • Alarmierung der Regelverletzung • Spanning Tree Protection • Edgeport • Empfangene BPD’s auf einem Userport werden verworfen • Spanning Tree Root Protection • Kontrolle über empfangene STP Pakete • Blocken von Paketen Switch Port MAC-1 MAC-2 MAC-3 MAC-4

  10. OmniPCX Enterprise Basic Security – Schutz vor ungebetenen Gästen • Schutz vor DHCP Vergiftung • Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen • Jeder Port erhält einen Vertrauens-Status • Ein DHCP Server darf angeschlossen sein • Kein DHCP Server darf angeschlossen sein • Nur auf autorisierten Ports dürfen DHCP-Offer passieren • DHCP-only-Ports • Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein • DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service • Ohne DHCP Service keine Verbindung zum LAN

  11. Agenda • Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” • Device Security • Security out of the Box • Denial of Service Attacken • Basic Security • Learned Port Security • DHCP Protection • Spanning Tree Protection • Advanced Security • Access Control Lists • Firewalling • User Security • Autosensing Authentication • Portallösung 3 Getrennte Eingänge Einliegerwohnung • Network Security • SFlow • Integriertes IDS / 3rd Party IDS-IPS • Quarantine Manager

  12. Layer1-Layer 4 ACLs / QoS policies • Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, • Verschiedene Bedingungen • Layer 7 - - Application aware Filtering • Layer 4 - - Protocol ID or L4 Port ID. Ex : UDP or Port 23. • Layer 3 - - IP Srce/Dest address. Ex : 192.168.10.1 • Layer 2 - - MAC Srce/Dest address. Ex: 0020DA34E2F8 • Verschiedenen Aktionen • Verbiete • Priorisiere • Steuere auf einen bestimmten Weg • Verlangsame • Beschleunige IP, IPX,… Best Effort Normal traffic Differentiated Traffic Sensitive traffic Guaranteed Traffic Real-time traffic

  13. Agenda • Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” • Device Security • Security out of the Box • Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder • Basic Security • Learned Port Security • DHCP Protection • Spanning Tree Protection • Advanced Security • Access Control Lists • Firewalling 4 • User Security • Autosensing Authentication • Portallösung • Network Security • SFlow • Integriertes IDS / 3rd Party IDS-IPS • Quarantine Manager

  14. Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check für jedes Gerät Role-based Netzwerk Zugang Alcatel Access Guardian Sicherheit auf Netzwerkebene

  15. IEEE 802.1x MAC 00:Ob:86:80:34:40 Captive Portal Auto-sensing Benutzer- Authentifizierung • Universelle Authentifizierung in Abhängigkeit vom Endgerät • Weil es mehr als einen PC im Netzwerk gibt • Weil alle Geräte mobil sind • Weil die Migration auf 802.1x auf einen Schlag schwierig ist

  16. Gäste Portal • Anmeldung für Gäste und auch Mitarbeiter • Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der Infrastruktur

  17. Agenda • Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” • Device Security • Security out of the Box • Denial of Service Attacken Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 • Basic Security • Learned Port Security • DHCP Protection • Spanning Tree Protection • Advanced Security • Access Control Lists • Firewalling • User Security • Autosensing Authentication • Portallösung • Network Security • SFlow • Integriertes IDS / 3rd Party IDS-IPS • Quarantine Manager

  18. Switching ASIC 1 in N sampling sFlow Übersicht sFlow Datagram Switch/Router forwarding tables sFlow agent packet header src/dst i/f sampling parms forwarding user ID URL i/f counters z.B. 128Bit rate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS interface counters sFlow Collector & Analyser

  19. 1 Infizierte station attackiert server (z.B. port scan) IDP identifiziert die Attacke und den Ursprung 2 IDP informiert OmniVista über den Type und Ursprung der Attacke 3 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet 4 Die Aktion ist aktiviert im Netzwerk 5 Alcatel-Lucent Quarantine Manager Sequenz der Ereignisse AutomatedQuarantine Manager !!! Attacke erkannt !!!, Sie können: • Shut Down des Nutzerports • Eine ACL kreieren • Die fehlerhafte Station in ein Quarantäne VLAN schieben OmniVista Network Management System (SNMP based) Data Center Switch Kritische Ressourcen Workgroup Switches Endnutzer

  20. Security • Was ist neu ?

  21. OmniAccess SafeGuard Product LineNetwork positioning GUI-based LAN tracking, incident reports, and policy setting OmniVista 2500 (Topology, traps, QM Syslog) Data center OmniVista SafeGuard Manager OmniAccess 2400 SafeGuard LAN core High Availability redundancy supported Transparent deployment OmniAccess 1000 SafeGuard Access layer Per-user and per-application controls

  22. Corporate LAN OmniAccess Security Overlay Features Audit Track and monitor user activity up to Layer 7 Threat Control Protect the LAN against zero-day worms Identity-Based Control Control Access to Resource from Layer 2 - Layer 7 Host Integrity Check Only compliant systems enter the LAN Authenticate Only valid users get on the LAN

  23. Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Alcatel decodes these apps at Layer 7: • HTTP • FTP • DNS • AD-Kerberos • Radius • DHCP • SMB/CIFS • RTP • RTSP • MSRPC • SUNRPC • MS Media • H.323 • SIP • Oracle = port-hopping apps Decoding Applications Some apps negotiate dynamic port assignments Many apps use well-known ports 0 -1024 1025 - 65K TCP / UDP ports

  24. Schmerzen

  25. Alcatel-Lucent hilft

  26. SecurityAccess Guardian or “Alcatel-Lucent’s NAC” • Authentication – Know who is on your network • Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) • Mix 802.1x, MAC, Web-based authentication and dynamic classification • Multiple users, multiple methods on 1 port • Authentication systems • VitalAAA Radius authentication server, compatible with MS IAS • Host integrity – Check if they are compliant • Integrated Access Control on AOS and AOS-W • NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP) • Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) • Partners: InfoExpress HIC, Symantec, Microsoft NAP • Role-based access – Direct what they can access • User Profiles granting access to appropriate resources (AOS) • Per-user access privileges (AOS-W) • Mapping users to resources at network level - OmniVista SV Network Access • Per user control at the application level (L2 to L7) - OmniAccess SafeGuard

  27. OmniAccess SafeGuard Product LineNetwork positioning GUI-based LAN tracking, incident reports, and policy setting OmniVista 2500 (Topology, traps, QM Syslog) Data center OmniVista SafeGuard Manager OmniAccess 2400 SafeGuard LAN core High Availability redundancy supported Transparent deployment OmniAccess 1000 SafeGuard Access layer Per-user and per-application controls

  28. Corporate LAN OmniAccess Security Overlay Features Audit Track and monitor user activity up to Layer 7 Threat Control Protect the LAN against zero-day worms Identity-Based Control Control Access to Resource from Layer 2 - Layer 7 Host Integrity Check Only compliant systems enter the LAN Authenticate Only valid users get on the LAN

  29. Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Alcatel decodes these apps at Layer 7: • HTTP • FTP • DNS • AD-Kerberos • Radius • DHCP • SMB/CIFS • RTP • RTSP • MSRPC • SUNRPC • MS Media • H.323 • SIP • Oracle = port-hopping apps Decoding Applications Some apps negotiate dynamic port assignments Many apps use well-known ports 0 -1024 1025 - 65K TCP / UDP ports

  30. SecurityIntrusion Containment with Quarantine Manager • Intrusion Detection – See what they are doing • AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection • AOS-W built-in Firewall and IDS • Firewall and VPN in Brick with basic IDS/IPS • Inline User monitoring and Threat Blocking with OmniAccess SafeGuard • Per-user and per-application based detection and blocking • User tracking and compliance reporting • Fortinet Applianc, Signature-based IPS • Containment – Quarantine and remediate • Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W) • Flexible integration with 3rd party detection devices (syslog, SNMP) • Granular application quarantining and user activity logging with OmniAccess SafeGuard

  31. Security portfolio Directions • Access Guardian => Network Access Control • Auto-sensing Authentication • Host Integrity Check for security compliance • Role based access • Quarantine Manager => Intrusion Containment • Intrusion – Detection - Monitoring • Containment - Remediation • Products and partnerships • LAN: OmniSwitch AOS protection, Sflow • WLAN: OmniAccess Wireless built-in firewall and IPS • Authentication Server: Radius, MS IAS, VitalAAA Radius • Host Integrity: Symantec, MS NAP • Unified Threat Management: Fortinet • Firewall and VPN: Brick portfolio • Inline Appliance: OmniAccess SafeGuard

  32. Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Durchgängige Netzwerk Services Genesis Secure Network TransformationLAN/WAN Networking Solutions WLAN LAN Edge LAN Aggregation LAN Core WAN/MAN Brick Firewall OmniAccess 3500 Laptop Guardian 7450/7750 OmniAccess SafeGuard OmniAccess 700 OmniSwitch 6850 / L OmniSwitch 7000/9000 OmniStack LS 6200 OmniAccess WLAN OmniPCX Enterprise Endgeräte WLAN LAN TDM OTUC OmniPCX Office

  33. www.alcatel-lucent.com

More Related